谷歌浏览器80版本SameSite属性所引发的一系列问题

最新推荐文章于 2023-06-21 16:43:20 发布
置顶 最新推荐文章于 2023-06-21 16:43:20 发布
阅读量1.5k 收藏 5
点赞数 4
分类专栏: 开发小记 文章标签: session google shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_14853853/article/details/108749620
版权

文章目录

前言

写博客主要是为了记录一下工作中所遇到的一些问题,下一次再出现相同的问题,也好迅速的解决,本篇文章用来记录登录模块所遇到的一些坑。

一、场景分析

某天,前端小姐姐突然问我,为啥她的验证码一直过期(线上环境),经过一顿排查,发现是浏览器的问题,只有用谷歌浏览器(80版本之后)才会出现验证码失效问题。经过一顿搜索找到答案,谷歌浏览器在80版本之后,对SameSite属性做出了一些更改,它的默认值从None变为了Lax,桥豆麻袋!!!SameSite是什么玩意,我咋没听过?别急。现在就给你讲解讲解

Chrome 51 开始,浏览器的 Cookie 新增加了一个SameSite属性,用来防止 CSRF 攻击和用户追踪。
它有三个属性。分别是Strict,Lax,None

  1. Strict:完全禁止第三方获取cookie,跨站点时,任何情况下都不会发送cookie;
  2. Lax:大多数情况下禁止获取cookie,除非导航到目标网址的GET请求(链接、预加载、GET表单);
  3. None:没有限制。

在谷歌的80版本发布之后,对SameSite属性做了以下更改:

  1. 没有设置SameSite属性的默认SameSite=Lax;
  2. SameSite=None的cookie则必须设置为Secure,即安全链接(https)。

那这又跟验证码失效有什么关系呢,我的验证码存在redis中,key是用户的sessionId,发现每次请求验证码时,请求头中携带的sessionId都是不一样的,那么登录时校验验证码的key,肯定就不一样了,自然就会校验失败。知道了原因那么这个问题就差不多解决了百分之80

二、解决方案

1.浏览器解决方案

直接设置谷歌浏览器的属性,改变SameSite的默认配置即可,
在谷歌浏览器中输入chrome://flags/,然后按照下图进行配置,重新launch即可。
在这里插入图片描述

2.代码解决方案

在网上找了很多这里贴出几个帖子,反正我自己试了没有成功,或许是我太菜
1.关于解决Chrome新版本中cookie跨域携带和samesite的问题处理
2.方法二的话就用JWT,来实现无状态服务,下一篇博客再详细说明。
3.在请求验证码时,就将sessionId通过响应头的方式返回,前端在登录时,添加一个请求头,然后后端进行处理
代码如下

//创建验证码
public void create(HttpServletRequest request, HttpServletResponse response) throws IOException {
        HttpSession session = request.getSession();
        String key = session.getId();
        ValidateCodeProperties code = properties.getCode();
        response.setHeader("sid",key);
        response.setHeader("Access-Control-Expose-Headers", "sid");
        setHeader(response, code.getType());
        Captcha captcha = createCaptcha(code);
        redisService.set(FebsConstant.CODE_PREFIX  + key, StringUtils.lowerCase(captcha.text()), code.getTime());
        captcha.out(response.getOutputStream());
    }

自定义一个SessionManager,让它继承DefaultSessionManager,具体看代码

@Configuration
public class MySessionManager extends DefaultWebSessionManager {

    private static final String TOKEN = "Authorization";

    private static final String REFERENCED_SESSION_ID_SOURCE = "Stateless request";

    public MySessionManager() {
        super();
    }

    @Override
    protected Serializable getSessionId(ServletRequest request, ServletResponse response) {
        String id = WebUtils.toHttp(request).getHeader(TOKEN);
        //如果请求头中有 token 则其值为sessionId
        if (!StringUtils.isEmpty(id)) {
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_SOURCE, REFERENCED_SESSION_ID_SOURCE);
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID, id);
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_IS_VALID, Boolean.TRUE);
            return id;
        } else {
            //否则按默认规则从cookie取sessionId
            return super.getSessionId(request, response);
        }
    }
}

然后将自定义的sessionManager交给Shiro

 @Bean
    public SecurityManager securityManager(ShiroRealm shiroRealm) {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        // 配置 SecurityManager,并注入 shiroRealm
        securityManager.setRealm(shiroRealm);
        // 配置 shiro session管理器
        securityManager.setSessionManager(sessionManager());
        // 配置 缓存管理类 cacheManager
        securityManager.setCacheManager(cacheManager());
        // 配置 rememberMeCookie
        securityManager.setRememberMeManager(rememberMeManager());
        return securityManager;
    }
	@Bean
    public DefaultWebSessionManager sessionManager() {

        MySessionManager mySessionManager = new MySessionManager();
        Collection<SessionListener> listeners = new ArrayList<>();
        listeners.add(new ShiroSessionListener());
        // 设置 session超时时间
        mySessionManager.setGlobalSessionTimeout(febsProperties.getShiro().getSessionTimeout() * 1000L);
        mySessionManager.setSessionListeners(listeners);
        mySessionManager.setSessionDAO(redisSessionDAO());
        mySessionManager.setSessionIdUrlRewritingEnabled(false);

        return mySessionManager;
    }

总结

大致思路就这几个吧,如果改浏览器会显得很业余,但总感觉session存也有点不妥,找个时间弄一个无状态的Token解决方案。
Token的解决方案已更新 JWT 的一站式解决方案

内心的无人区
关注
  • 4
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
谷歌浏览器版本谷歌浏览器41版本,Chrome41
10-16
谷歌浏览器,老版本41版本,chrome41.0,可以用于软件开发、软件测试,有需要的可以自行下载~~~
Chrome 浏览器运行机制
青蛙king的博客
03-20 631
进程 浏览器最初是单进程架构,但是单进程架构缺点较为明显: 稳定性: 进程中某个模块的崩溃会导致整个进程的崩溃,比如浏览器的某些插件,或者一些复杂的JavaScript代码… … 流畅性: 单进程浏览器所有的渲染模块、插件和JavaScript执行环境都在同一个线程中,其中一个执行较慢都会影响其他功能的正常运行; 安全性: 插件通过C/C++代码编写可以获取到操作系统的权限,页面的JavaScript脚本代码也可以利用浏览器漏洞引发一些安全性问题; 现代浏览器采用了多进程架构: 浏览器主进程: 主要负
记一次response的set-cookie的sessionId与cookie存储的sessionId不一致导致登录不起的问题
bingfengzhihuo521的博客
07-14 2709
最近在修改老项目时,出现一个玄学的问题,困扰了很久,在ie,Firefox中都正常可以登录,但是在chrome中使用登录不起,在后台filter中断点定位发现,cookie进来的session获取不到存储的用户信息,导致登录失效,不断要求登录; 查阅各种 set-cookie与cookie值不一致问题,按文章解决依旧不能解决问题; 最后决定静下心来在getSession()方法处断点,跟踪每次请求的sessionID值和浏览器中的cookie比对,最终发现是页面上引用的一个图标(favicon.ico)引起
Chrome浏览器同一窗口每次请求sessionId不同问题的一种解决办法分享
weixin_40571937的博客
09-28 4557
问题描述 最近在调试一些浏览器请求页面的时候,在其他浏览器都正常,唯独只有谷歌chrome浏览器不行! 情况1:问题的最直接现象就是每次请求在后台过滤器里通过request.getSession().getId(),拿到的id都是不同的,导致后面出现一些不正常的结果。 情况2:或者在 Shiro的权限控制中,通过session设置token信息,在授权的时候想要通过SecurityUtils.getSubject().getSession()获取session后,通过session.getAttribut
Springboot+Shiro出现SameSite问题
您已进入外太空
04-30 6561
首先说明一下低版本shiro-spring是没有这个问题的,我发现这个问题shiro-spring是1.5.2版本 我没有去考证过到哪个版本会出现这个问题,但是肯定的是新版本shiro-spring对cookie加上了SameSite属性 首先说明一下网上说配置CookieSerializer是不会起作用的,原因是当引入shiro-spring之后,对于cookie的序列化操作会托管给sh...
统一认证,跨域cookie写入问题,修改sameSite
Thog_13的博客
06-21 1228
认证中心采用iframe嵌套业务平台的模式,进行oauth2.授权,跨域cookie写入问题
chrome 同站策略(samesite问题及解决方案
热门推荐
左直拳的马桶_日用桶
01-08 2万+
一、同站策略问题 chrome自版本80之后,就出现了所谓同站策略问题。 即,在A页面跳到B页面,如果chrome发现它们不是同一个站点的话,就不传cookie给B页面所在的站点。众所周知,原本cookie是会附在浏览器到服务器的每个请求(request)里的,这是浏览器自动完成的,现在好了,chrome分情况,可能不给你做这个工作。 这样的后果是什么呢?就是有些功能以前没问题的,现在不行了。拿我们来说,原本我们有些WEB项目,会用iframe将其他项目的嵌进去,看上去就好像一个系统一样,这叫界面集成吧,很
Chrome 配置samesite=none方式
m0_67391907的博客
07-31 1679
Chrome从70版本开始,出现了所谓的同源策略问题80版本开始默认SameSite=Lax,导致跨域Cookie传输收到限制。我们遇到的问题是从其他网站跳转回来的时候,地址栏在正常地址的基础上出现了JSESSIONID=XXXXXXXXX,导致原有session失效。...
谷歌浏览器驱动 113版本 下载即用
05-18
谷歌浏览器驱动 113版本 下载即用
谷歌浏览器系列8.0版本
04-03
谷歌浏览器系列8.0版本
关于谷歌Chrom 80版本升级后,跨域Samesite必须有值影响跨域项目的解决
01-09
近日,被Chrom浏览器折磨废了~幸亏公司有各路大神。 问题来源: 对于开发小白来说,这都说的是什么玩意,完全不懂!没关系,我也不懂。 解决方案:首先确定你自己项目的WEB服务器 1、Apache解决方案 首先你需要在httpd.conf文件中开启mod_header模块  LoadModule headers_module modules/mod_headers.so 你打开它以后并不能生效,所以我们还要重写Set-Cookie的头信息,其他的方法我们已经尝试并不可行,目前只有这一种方法可行 Header always edit Set-Cookie path=/ path=
谷歌浏览器稳定版_80_X64.exe
04-04
浏览器稳定版本,64位系统windows系统的浏览器,谷歌浏览器有着一些其他浏览器无法替代的作用。双核浏览器,简约纯净无广告,快速稳定,拒绝卡顿,智能双核,无缝切换;给您带来秒开网页的超快体验,双核浏览器。Google ...
谷歌浏览器系列7.0版本
04-03
谷歌浏览器系列7.0版本
Springboot应用中设置Cookie的SameSite属性
a595077052的专栏
08-26 2986
转载自https://springboot.io/t/topic/2602 Cookie除了key和value以外有几个属性。 httpOnly是否允许js读取cookie secure是否仅仅在https的链接下,才提交cookie domaincookie提交的域 pathcookie提交的path maxAgecookie存活时间 sameSite同站策略,枚举值:StrictLaxNone 其他的都很熟悉了,最后一个是 Chrome 51 开始,浏览器的 Cookie ...
如何在Chrome浏览器中临时修改SameSite=None和Secure
pocher的博客
06-13 1259
如何在Chrome浏览器中临时修改SameSite=None和Secure
chrome header 获取_Chrome默认对Cookie添加SameSite,对安全和业务有什么影响?
weixin_35552177的博客
12-29 587
FSRC经验分享系列介绍新年新气象,我们会在FSRC公众号发出焦点科技信息安全部工作过程中总结的经验。分享内容不仅是漏洞分析,也包括运营、sdl、等保、自研工具等。只要与安全相关,我们都会整理并分享给大家,欢迎各位安全从业者关注。1文章内容简介Chrome 51 开始,浏览器的 Cookie 新增加了一个SameSite属性,用来防止 CSRF 攻击和用户追踪。未来Chrome浏览器会默...
解决新版本chrome samesite默认级别为lax,后端用shiro必传cookie但是传不过去的问题
weixin_38067069的博客
08-12 3805
先说一下解决办法 1、修改浏览器配置(不推荐) 地址栏输入:chrome://flags/ 找到SameSite by default cookies和Cookies without SameSite must be secure 将上面两项设置为 Disable 2、后端与前端同域(推荐) 我是用这种方式解决的。用nignx代理后端服务器,等于前后端在同一个域下,这样就不存在跨域的问题,也就不存在samesite的验证问题了,所...
Chrome游览器改变SameSite设置
weixin_49847526的博客
11-07 8135
Chrome浏览器改变SameSite设置 Chrome 默认将没有设置SameSite设置为SameSite=Lax SameSite取值 Strict Strict完全禁止第三方Cookie,跨站点时,任何情况下都不会发送Cookie Lax Lax规则稍稍放宽,大多数情况也是不发送第三方 Cookie,但是导航到目标网址的 Get 请求除外。 None 网站可以选择显式关闭SameSite属性,将其设为None。 不过,前提是必须同时设置Secure属性(Cookie 只能通过 HTTPS 协议发送)
SpringBoot排除数据源配置,配置决定行为
qq_14853853的博客
07-05 7049
项目场景: 最近接到一个需求,大概意思呢就是数据库连接不够用了,部分服务(分服务)就不需要配置数据源了,需要跟db打交道的地方全部改成rpc去调用具备db能力的服务(总服务) 问题描述: 其实需要改的地方并不多,分服务实际上也就只有几个接口会被调用到,主要是插入操作,写一个rpc接口即可。至于排除数据源,毕竟一直都是配了数据源的,突然不配了还有点不知所措。这里就有点小坑,后面会提到。 解决方案: 1.业务逻辑 调用数据库的部分,全部改成一个接口,具体走的实现逻辑,可以通过配置文件来决定。 publ
谷歌浏览器历史版本下载
最新发布
09-15
要下载谷歌浏览器的历史版本,你可以按照以下步骤进行操作: 1. 确定想要下载的谷歌浏览器版本号。你可以通过访问https://en.wikipedia.org/wiki/Google_Chrome_version_history这个网站来查看谷歌浏览器的所有版本号。 2. 进入谷歌浏览器历史版本下载页面。你可以通过搜索引擎搜索“谷歌浏览器历史版本下载”来找到相关的下载页面。 3. 在下载页面中,找到对应的谷歌浏览器版本号并点击下载链接。 4. 根据你的操作系统选择相应的下载版本(Windows、Mac、Linux等)。 5. 下载完成后,双击下载的安装文件并按照提示进行安装。 请注意,下载谷歌浏览器的历史版本可能存在一些安全风险。建议你仅在特殊需要或测试目的下使用历史版本,并在正常使用时使用最新版本以确保安全性和稳定性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值